イベントレポート

Internet Week 2016

2016年のDNS関連インシデント事例/DNS運用における「見抜く力」とは

  • 遠山 孝

2016年12月8日 06:00

 「見抜く力を!」をテーマに開催された今年の「Internet Week 2016」。その中からここでは、12月1日のランチセッションとして行われた「ランチのおともにDNS」をレポートする。株式会社日本レジストリサービス(JPRS)がお弁当とDNSに関する話題を提供する、毎年恒例のセミナーだ。今回のテーマは「DNS運用の『見抜く』を探る~インシデント事例紹介と必要な要素・項目」である。「見抜く」とは、物事の表面に現れていない真実や本質を知ることだが、DNSの運用においてそれがどのように関係するのか?

講師を務めた、株式会社日本レジストリサービス広報宣伝室の森下泰宏氏とシステム部の尾崎勝義氏

DNS運用の「見抜く」は、何気ない日常の中にある

 JPRS広報宣伝室の森下泰宏氏は冒頭で、Internet Week 2016全体のテーマから抜粋した文章を提示。見抜く力は「課題が発生した時に、その課題の本質を的確に捉え、どういう対応が適切なのかを判断できる」ようになるために必要であると言う。発生した問題の本質を捉えることで適切に判断・対応するための基礎を作り、そうして得た知識をベースとして、現在や将来に渡って起こりうる状況や予兆を捉え適切に判断・対応することが大切であると述べている。

DNSにおける運用の重要性
運用における2つの視点~「これまで」と「これから」~

 JPRSシステム部の尾崎勝義氏が担当したインシデント事例の紹介からは、DNSのQNAME(問い合わせの名前情報)を通信手段として利用するマルウェアと、権威DNSサーバーを標的としたDDoS攻撃の2つに注目したい。まずは、前者から。

 DNSがマルウェアの通信で利用される背景には、多くの場合、DNSクエリがフィルタリングの対象となっていないからである。また、DNSクエリログが取られていないことも多く、痕跡が残りにくい。今回報告された手法は、DNSクエリのQNAMEを通信に使うもので、以下の図で示されているように、QNAME部分にボットと指令サーバー間でやりとりする情報や、クレジットカードの情報を埋め込んでいる。

DNSのQNAMEを通信手段として利用するマルウェア
ボットと指令サーバー間の通信
クレジットカード情報の抜き取り

 この問題への対策は、フルサービスリゾルバーでDNSクエリログを取って内容を調査する、あるいは調査できるようにすることと、エンドユーザーが組織外のサーバーにDNSクエリを直接送れないように、組織内ネットワークに対してOP53B(DNSが使用する外部向けの53番ポートに対する通信をブロックすること)を適用することにあるという。不審なQNAMEの例としては、ランダムな文字列のラベルを含むQNAMEや長いラベルを含むQNAMEなどが示されていた。

QNAMEが通信に利用される背景
提案されている対策

 後者の権威DNSサーバーを標的としたDDoS攻撃では、最近の状況として6月に発生したルートサーバーに対するDDoS攻撃、8月から9月にかけて発生した国内組織・サービスに対するDDoS攻撃、そして、10月に発生した米Dynのサービスインフラに対するDDoS攻撃の3つが紹介された。これらの事例では、いずれも権威DNSサーバーを標的とした攻撃が観測されている。

 この中で注目したい点は、送信元IPを偽装しない攻撃が見られるようになったこと、攻撃規模が飛躍的に増大していること、攻撃手法が巧妙化しているところだろう。攻撃ツールが進化し、入手や使用も容易になったことから、その気になれば誰でも「複雑かつ高度な」攻撃を容易に行える時代になったと言える。

権威DNSサーバーを標的としたDDoS攻撃
最近のDDoS攻撃の特徴
最近のDDoS攻撃の特徴

 では、こうした攻撃に対してどのようなことができるのであろうか? 尾崎氏も述べているが、Dynのサービスインフラに対するDDoS攻撃で観測されたと言われる「1.2Tbps」を「まともに食らったら非常に厳しい」というのは、その通りだろう。このようなDDoS攻撃に対応するためにはネットワークの設計そのものを根本的に考察し直す必要が出てくる上に、その対策費として高額な費用や、維持・管理のための高い運用コストが見込まれるからだ。対策に、コストに見合うだけの価値を見出せなければ、そのような予算が出ることは決して無いと言えるのではないだろうか。

 そのため、ここではそうした、言わば「物量作戦」の前に可能な対策を考え、準備した上で、攻撃を検知し、適切な緩和策を取ることを勧めている。また、自身のインフラが使えなくなった場合を考え、普段から情報提供用のシステムを自社インフラとは別に確保し、TwitterやFacebookなどのSNSを活用するなどの備えが大切であるとしている。

できることはあるのか?
対策:攻撃の効果軽減
対策:攻撃の検知・緩和

 インシデント紹介の後は、森下氏が「見抜く」のために必要なこととして、「気付き」「状況把握」「仕組み作り」「普段の積み重ねと備え」「周囲や社会の理解」という5項目について説明を行った。普段と何か違う、何か様子がおかしいといった気付きは重要であり、システムやネットワークの状況などに限らず、Twitterがざわついているなど、さまざまな項目から何らかの異変に気付くこともあり得る。また、普段の状況を把握していないと普段と違うということを把握できないことから、日々の蓄積が重要であること、そして、蓄積のための行動として仕組み作りや備えの大切さなどを述べていた。

 それにしても、5つめの「周囲や社会の理解」には筆者も同意する部分が多い。多くのDNS技術者が「日常の積み重ねや備えは、得てして適切に評価されない」というようなことを言っていることを知っているからだ。

周囲や社会の理解
おわりに

 今回のInternet Weekにおいて他の話者も同様なことを述べていたが、日本ではDNSは他のサービスの「おまけ」の機能として扱われているケースがほとんどであることに不安を覚えてしまう。DNSが正しく機能しなければ、今のインターネットは正常に動かないのである。DNSのサービスを提供する組織は、きちんとお金をかけて、人と設備をきちんと整備してくれることを望みたい。

今年のお弁当